Sie werden sicherlich gleich die Augen verdrehen und denken, wie kann man nur? Aber folgendes Szenario findet im Gesundheitswesen so oder in abgewandelter Form täglich statt:
Arzt A ist niedergelassener Hämatologe, behandelt einen Patienten. Der Fall scheint komplizierter zu sein, als auf den ersten Blick vermutet. Daher beschließt A ein Konsil bei der Kollegin B der gleichen Fachrichtung, die an einem großen Universitätsklinikum angestellt ist, einzuholen (für alle Nicht-Mediziner: ein Konsil ist eine patientenbezogene Beratung eines Arztes durch einen anderen Arzt). Zum Glück oder auch Unglück sind beide per WhatsApp verbunden. Also zückt A schnell sein Handy, macht ein paar Screenshots von den Hämatomen des Patienten und sendet die Bilder mit Informationen zum Patienten an B. Da diese aber gerade auf Weiterbildung ist, leitet sie die Fotos und Daten von ihrem Privatgerät an den Kollegen C weiter, der dann das Konsil erstellt. Dieses wird über B zurück an A gespielt, der anschließend die weitere Behandlung des Patienten vornimmt.
Schöne neue Welt
Die neuen Medien bieten eine Vielzahl an Möglichkeiten. Leider werden diese allzu oft unbedarft verwendet. Im oben genannten Fall fallen spontan folgende Buzzwords ein:
- Serverstandorte in den USA
- Verzahnung WhatsApp mit Facebook
- Gesundheitsdaten in der Cloud
- Unklare Löschung der Daten von den Geräten
- Einholung der Einwilligung des Patienten
- Umsetzung von Betroffenenrechten
- § 203 StGB
Je länger man darüber nachdenkt, umso länger würde die Liste werden.
Rechtliche Bewertung
Wer jetzt eine rechtliche Bewertung des Falles erwartet, wird leider enttäuscht. Das Thema WhatsApp wurde bereits von so vielen Kollegen bewertet, dass wir hier davon absehen. Stattdessen unterzogen wir WhatsApp einer summarischen, also einer groben, nicht in die Tiefe gehenden Prüfung, anhand des von der DSK herausgegebenen Whitepapers zu den technischen Datenschutzanforderungen an Messenger-Dienste im Krankenhausbereich.
Whitepaper der Datenschutzkonferenz
Die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder haben in ihrem Whitepaper einen Kriterienkatalog aufgestellt, anhand dessen geprüft werden kann, ob ein Messenger-Dienst im Gesundheitsbereich (aber auch in anderen Bereichen, in denen sensible personenbezogene Daten verarbeitet werden) eingesetzt werden darf.
Thematisch wird im Whitepaper zwischen verschiedenen Bereichen unterschieden:
- Messenger-Applikation
Hier werden beispielsweise die Aspekte der Umsetzung von Informationspflichten thematisiert
- Kommunikation
An dieser Stelle ist beispielsweise auf die Ende-zu-Ende-Verschlüsselung einzugehen
- Sicherheit der Endgeräte
Thematisiert werden hier zum Beispiel die Aspekte des Zugriffsschutzes
- Plattform/Betrieb
Unter diesem Bereich ist die Durchführung einer Datenschutz-Folgenabschätzung zu erörtern.
Inhaltlich muss jeweils geprüft werden, ob es sich um MUSS- oder SOLL-Vorgaben handelt. MUSS-Anforderungen sind datenschutzrechtlich geboten und müssen zwingend umgesetzt werden. Bei SOLL-Anforderungen können gesetzliche Alternativen bestehen oder es handelt sich um wünschenswerte Umsetzungen.
Wie sieht das in der Praxis aus:
Wir haben im Rahmen einer summarischen Prüfung den Messenger-Dienst WhatsApp anhand des Kriterienkataloges des Whitepapers geprüft. Uns ist bewusst, dass bei einzelnen Prüfungspunkten mit einer entsprechenden Argumentation auch eine andere Bewertung erreicht werden kann. Unsere summarische Prüfung können Sie hier downloaden.
Ohne zu viel vorweg zu nehmen: Wie zu erwarten war, ist WhatsApp nicht für den Einsatz im Gesundheitswesen geeignet. Aber an dieser Stelle sei darauf hingewiesen, dass unverschlüsselte E-Mails auch nicht das Mittel der Wahl sein sollten. Es gibt inzwischen einige Anbieter, die die Anforderungen der DSK erfüllen. Gesundheitseinrichtungen sind gut beraten, sich den Prüfkatalog anzusehen, alleine schon um mögliche Gefahrenquellen zu kennen.
Der PC-Flüsterer Bremen
5. Dezember 2019 @ 19:25
„einige Anbieter, die die Anforderungen der DSK erfüllen“: Hier fehlt die Nennung von Ross und Reiter. Weshalb werden sie nicht aufgelistet? Signal, Threema, Telegram (wenn man die E2EE einschaltet), Wire, …
Dr. Sebastian Ertel
5. Dezember 2019 @ 23:19
Ross und Reiter haben wir bewusst weggelassen. Dies würde eine umfangreiche und im Ergebnis schwer zu gewährleistende Auseinandersetzung mit den verschiedenen Produkten bedeuten. Zudem soll der Beitrag nur einen Impuls geben, auf das Whitepaper hinweisen und eine Möglichkeit der Prüfung vorschlagen.